JP7276550B2 - Anomaly detection method, system and program - Google Patents

Anomaly detection method, system and program Download PDF

Info

Publication number
JP7276550B2
JP7276550B2 JP2022066082A JP2022066082A JP7276550B2 JP 7276550 B2 JP7276550 B2 JP 7276550B2 JP 2022066082 A JP2022066082 A JP 2022066082A JP 2022066082 A JP2022066082 A JP 2022066082A JP 7276550 B2 JP7276550 B2 JP 7276550B2
Authority
JP
Japan
Prior art keywords
log
distribution
log information
analysis target
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022066082A
Other languages
Japanese (ja)
Other versions
JP2022092037A (en
Inventor
遼介 外川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from JP2020141475A external-priority patent/JP7103392B2/en
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2022066082A priority Critical patent/JP7276550B2/en
Publication of JP2022092037A publication Critical patent/JP2022092037A/en
Application granted granted Critical
Publication of JP7276550B2 publication Critical patent/JP7276550B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ログから異常を検出するための異常検出方法、システムおよびプログラムに関する。 The present invention relates to an anomaly detection method, system and program for detecting anomalies from logs.

コンピュータ上で実行されるシステムでは、一般的にイベントの結果やメッセージ等を含むログが出力される。システム異常等が発生した際には、通常時と比べてログの出力数の分布が変化することが多い。これは、例えば通常は出力されるログがシステム異常によって出力されない、あるいは通常は出力されないログがシステム異常によって出力されるためである。このようなログの出力数の変化を利用して異常を検出する技術が従来考案されている。 A system running on a computer generally outputs a log containing event results, messages, and the like. When a system failure or the like occurs, the distribution of the number of log outputs often changes compared to normal times. This is because, for example, a log that is normally output is not output due to a system error, or a log that is not normally output is output due to a system error. Techniques for detecting anomalies using changes in the number of log outputs have been devised in the past.

特許文献1に記載の技術は、過去のログ(イベント)が出力された頻度の分布から平均および標準偏差を算出し、算出された平均および標準偏差から理論的分布(正規分布、ポワソン分布等)を生成する。そして該技術は、理論的分布に基づいて分析対象のログから異常が発生したか否かを判定する。また、特許文献1には、正規分布、ポワソン分布等の異なる統計手法を用いて複数の種類の理論的分布を生成し、複数の種類の理論的分布から最適な理論的分布を選択して異常検出を行うことが記載されている。 The technology described in Patent Document 1 calculates the average and standard deviation from the distribution of the frequency of output of past logs (events), and calculates a theoretical distribution (normal distribution, Poisson distribution, etc.) from the calculated average and standard deviation. to generate The technique then determines whether an anomaly has occurred from the analyzed log based on the theoretical distribution. In addition, in Patent Document 1, a plurality of types of theoretical distributions are generated using different statistical methods such as normal distribution and Poisson distribution, and an optimum theoretical distribution is selected from a plurality of types of theoretical distributions. Detection is described.

特開2005-236862号公報JP 2005-236862 A

一般的にログの出力数を変動させる要因は複数存在し、ログを集計する時間の単位(1時間ごと、1日ごと等)によってログの出力数に影響を与える主な要因が変わる場合がある。そのため、過去の一定期間のログを平均化した平均状態を基準とする場合に、適切に異常を検出できない可能性がある。また、同じ種類の機器であっても機器ごとに特性が異なるため、機器ごとのログの出力数の分布の特徴も変わり得る。そのため、複数の機器から出力されるログを平均化した平均状態を基準とすると、機器ごとおよび集計単位ごとの分布の特徴が埋もれてしまい、適切に異常を検出できない可能性がある。 In general, there are multiple factors that affect the number of logs output, and the main factors that affect the number of logs output may change depending on the unit of time for aggregating logs (every hour, every day, etc.) . Therefore, when the average state obtained by averaging logs for a certain period of time in the past is used as a reference, there is a possibility that anomalies cannot be detected appropriately. Also, even if the devices are of the same type, the characteristics of each device are different, so the characteristics of the distribution of the number of log outputs for each device may also vary. Therefore, if the average state obtained by averaging the logs output from a plurality of devices is used as a reference, the characteristics of the distribution for each device and for each aggregation unit may be hidden, and anomalies may not be detected appropriately.

しかしながら、特許文献1には、異なる統計手法の分布から選択された分布を異常検出の基準とすることは記載されているものの、異なる集計単位および異なる機器についてのログの分布を用いることは想定されていない。 However, although Patent Document 1 describes that a distribution selected from distributions of different statistical methods is used as a reference for detecting anomalies, it is not assumed to use log distributions for different aggregation units and different devices. not

本発明は、上述の問題に鑑みて行われたものであって、異なる集計単位および異なる機器について生成されたログの出力数の分布を用いて高精度に異常検出を行うことができる異常検出方法、システムおよびプログラムを提供することを目的とする。 The present invention has been made in view of the above-mentioned problems, and is an anomaly detection method capable of performing anomaly detection with high accuracy using the distribution of the number of log outputs generated for different aggregation units and different devices. , the purpose of which is to provide systems and programs.

本発明の第1の態様は、異常判定方法であって、第1の時間幅における第1の基準機器のログ出力数に関する情報を含む複数の基準ログ情報を取得し、第2の時間幅における第1の機器のログ出力数に関する情報を含む分析対象ログ情報を取得し、前記複数の基準ログ情報から、前記分析対象ログ情報との類似度に基いて第1の基準ログ情報を選択し、前記分析対象ログ情報と前記第1の基準ログ情報とに基づいて前記第1の機器の異常の有無を判定する工程を含む。 A first aspect of the present invention is an anomaly determination method that acquires a plurality of pieces of reference log information including information about the number of log outputs of a first reference device in a first time span, Acquiring analysis target log information including information about the number of log outputs of the first device, selecting the first reference log information from the plurality of reference log information based on similarity to the analysis target log information, The step of determining whether or not there is an abnormality in the first device based on the analysis target log information and the first reference log information.

本発明の第2の態様は、異常判定システムであって、第1の時間幅における第1の基準機器のログ出力数に関する情報を含む複数の基準ログ情報を取得し、第2の時間幅における第1の機器のログ出力数に関する情報を含む分析対象ログ情報を取得し、且つ前記複数の基準ログ情報から、前記分析対象ログ情報との類似度に基いて第1の基準ログ情報を選択する取得部と、前記分析対象ログ情報と前記第1の基準ログ情報とに基づいて前記第1の機器の異常の有無を判定する判定部とを備える。 A second aspect of the present invention is an abnormality determination system that acquires a plurality of reference log information including information on the number of log outputs of a first reference device in a first time span, Acquiring log information to be analyzed including information about the number of log outputs of a first device, and selecting first reference log information from the plurality of reference log information based on similarity to the log information to be analyzed An acquisition unit and a determination unit that determines whether or not there is an abnormality in the first device based on the analysis target log information and the first reference log information.

本発明の第3の態様は、異常判定プログラムであって、第1の時間幅における第1の基準機器のログ出力数に関する情報を含む複数の基準ログ情報を取得し、第2の時間幅における第1の機器のログ出力数に関する情報を含む分析対象ログ情報を取得し、前記複数の基準ログ情報から、前記分析対象ログ情報との類似度に基いて第1の基準ログ情報を選択し、前記分析対象ログ情報と前記第1の基準ログ情報とに基づいて前記第1の機器の異常の有無を判定する工程をコンピュータに実行させる。 A third aspect of the present invention is an abnormality determination program that acquires a plurality of pieces of reference log information including information about the number of log outputs of a first reference device in a first time span, Acquiring analysis target log information including information about the number of log outputs of the first device, selecting the first reference log information from the plurality of reference log information based on similarity to the analysis target log information, A computer is caused to execute a step of determining whether or not there is an abnormality in the first device based on the log information to be analyzed and the first reference log information.

本発明の第4の態様は、異常判定プログラムであって、第1の時間幅における第1の基準機器のログ出力数に関する情報を含む複数の基準ログ情報を取得し、第2の時間幅における第1の機器のログ出力数に関する情報を含む分析対象ログ情報を取得し、且つ前記複数の基準ログ情報から、前記分析対象ログ情報との類似度に基いて第1の基準ログ情報を選択する取得部、及び、前記分析対象ログ情報と前記第1の基準ログ情報とに基づいて前記第1の機器の異常の有無を判定する判定部としてコンピュータを機能させる。 A fourth aspect of the present invention is an anomaly determination program that acquires a plurality of pieces of reference log information including information about the number of log outputs of a first reference device in a first time span, Acquiring log information to be analyzed including information about the number of log outputs of a first device, and selecting first reference log information from the plurality of reference log information based on similarity to the log information to be analyzed The computer functions as an acquisition unit and a determination unit that determines whether or not there is an abnormality in the first device based on the log information to be analyzed and the first reference log information.

本発明によれば、ログを出力する機器ごとおよびログの集計単位ごとに生成された複数の分布を用いて異常を検出するため、機器ごとおよび集計単位ごとの分布の特徴を生かして高精度に異常を検出することができる。 According to the present invention, since anomalies are detected using a plurality of distributions generated for each device that outputs logs and for each log aggregation unit, the characteristics of the distribution for each device and each aggregation unit can be utilized to achieve high accuracy. Anomalies can be detected.

第1の実施形態に係る異常検出システムのブロック図である。1 is a block diagram of an anomaly detection system according to a first embodiment; FIG. 第1の実施形態に係る分析対象ログの模式図である。4 is a schematic diagram of analysis target logs according to the first embodiment; FIG. 第1の実施形態に係るフォーマットの模式図である。4 is a schematic diagram of a format according to the first embodiment; FIG. 第1の実施形態に係る異常検出方法の模式図である。1 is a schematic diagram of an abnormality detection method according to a first embodiment; FIG. 第1の実施形態に係る例示的な集計単位の模式図である。FIG. 4 is a schematic diagram of exemplary aggregation units according to the first embodiment; 第1の実施形態に係る異常検出システムの概略構成図である。1 is a schematic configuration diagram of an abnormality detection system according to a first embodiment; FIG. 第1の実施形態に係る異常検出方法のフローチャートを示す図である。It is a figure which shows the flowchart of the abnormality detection method which concerns on 1st Embodiment. 第2の実施形態に係る異常検出システムのブロック図である。8 is a block diagram of an abnormality detection system according to a second embodiment; FIG. 第2の実施形態に係る異常検出方法の模式図である。It is a schematic diagram of the abnormality detection method which concerns on 2nd Embodiment. 第2の実施形態に係る異常検出方法のフローチャートを示す図である。FIG. 7 is a diagram showing a flowchart of an abnormality detection method according to the second embodiment; 各実施形態に係る異常検出システムのブロック図である。1 is a block diagram of an anomaly detection system according to each embodiment; FIG.

以下、図面を参照して、本発明の実施形態を説明するが、本発明は本実施形態に限定されるものではない。なお、以下で説明する図面で、同機能を有するものは同一符号を付け、その繰り返しの説明は省略することもある。 BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, embodiments of the present invention will be described with reference to the drawings, but the present invention is not limited to these embodiments. In the drawings described below, elements having the same function are denoted by the same reference numerals, and repeated description thereof may be omitted.

(第1の実施形態)
図1は、本実施形態に係る異常検出システム100のブロック図である。図1において、矢印は主なデータの流れを示しており、図1に示したもの以外のデータの流れがあってよい。図1において、各ブロックはハードウェア(装置)単位の構成ではなく、機能単位の構成を示している。そのため、図1に示すブロックは単一の装置内に実装されてよく、あるいは複数の装置内に別れて実装されてよい。ブロック間のデータの授受は、データバス、ネットワーク、可搬記憶媒体等、任意の手段を介して行われてよい。 (First embodiment)
FIG. 1 is a block diagram of an anomaly detection system 100 according to this embodiment. In FIG. 1, arrows indicate main data flows, and there may be data flows other than those shown in FIG. In FIG. 1, each block does not show the configuration in units of hardware (apparatus), but the configuration in units of functions. As such, the blocks shown in FIG. 1 may be implemented within a single device, or may be implemented separately within multiple devices. Data exchange between blocks may be performed via any means such as a data bus, network, or portable storage medium.

異常検出システム100は、処理部として、ログ入力部110、フォーマット判定部120、分析対象分布生成部130、基準分布取得部140、異常検出部150および通知制御部160を備える。また、異常検出システム100は、記憶部として、フォーマット記憶部171および基準分布記憶部172を備える。 The anomaly detection system 100 includes a log input unit 110, a format determination unit 120, an analysis target distribution generation unit 130, a reference distribution acquisition unit 140, an anomaly detection unit 150, and a notification control unit 160 as processing units. The abnormality detection system 100 also includes a format storage unit 171 and a reference distribution storage unit 172 as storage units.

ログ入力部110は、分析の対象とする分析対象ログ10を受け取り、異常検出システム100に入力する。分析対象ログ10は、異常検出システム100の外部から取得されてよく、あるいは異常検出システム100の内部に予め記録されたものを読み出すことにより取得されてよい。分析対象ログ10は、1つ以上の装置又はプログラムから出力される1つ以上のログを含む。分析対象ログ10は、任意のデータ形式(ファイル形式)で表されたログであり、例えばバイナリデータ又はテキストデータでよい。また、分析対象ログ10はデータベースのテーブルとして記録されてよく、あるいはテキストファイルとして記録されてよい。 The log input unit 110 receives the analysis target log 10 to be analyzed and inputs it to the abnormality detection system 100 . The analysis target log 10 may be acquired from the outside of the anomaly detection system 100 or may be acquired by reading out what is previously recorded inside the anomaly detection system 100 . The analysis target log 10 includes one or more logs output from one or more devices or programs. The analysis target log 10 is a log expressed in any data format (file format), and may be binary data or text data, for example. Also, the analysis target log 10 may be recorded as a database table, or may be recorded as a text file.

図2は、例示的な分析対象ログ10の模式図である。本実施形態における分析対象ログ10は、装置又はプログラムから出力される1つのログを1単位とし、1つ以上の任意の数のログを含む。1つのログは1行の文字列でよく、あるいは複数行の文字列でよい。すなわち、分析対象ログ10は分析対象ログ10に含まれるログの総体を指し、ログは分析対象ログ10から抜き出された1つのログを指す。各ログは、タイムスタンプおよびメッセージ等を含む。異常検出システム100は、特定の種類のログに限らず、広範な種類のログを分析対象とすることができる。例えば、syslog、イベントログ等のオペレーティングシステムやアプリケーションなどから出力されるメッセージを記録する任意のログを分析対象ログ10として用いることができる。 FIG. 2 is a schematic diagram of an exemplary log 10 to be analyzed. The log to be analyzed 10 in this embodiment includes one log output from a device or program as one unit, and includes any number of logs equal to or greater than one. A log can be a single line string, or it can be a multi-line string. That is, the analysis target log 10 refers to the entirety of the logs included in the analysis target log 10, and the log refers to one log extracted from the analysis target log 10. FIG. Each log contains timestamps, messages, and so on. The anomaly detection system 100 can analyze not only a specific type of log but also a wide range of types of logs. For example, any log that records messages output from an operating system, an application, or the like, such as syslog and event log, can be used as the analysis target log 10 .

フォーマット判定部120は、分析対象ログ10に含まれる各ログに対して、フォーマット記憶部171に予め記録されているいずれのフォーマット(形式)に合致するかを判定し、合致するフォーマットを用いて各ログを変数部分と定数部分とに分離する。フォーマットとは、ログの特性に基づいて予め決められた、ログの種類である。ログの特性は、互いに類似するログ間で変化しやすい又は変化しづらいという性質や、ログ中で変化しやすい部分を示す文字列が記載されているという性質を含む。変数部分とはフォーマットの中で変化可能な部分であり、定数部分とはフォーマットの中で変化しない部分である。入力されたログ中の変数部分の値(数値、文字列およびその他のデータを含む)を変数値と呼ぶ。変数部分および定数部分はフォーマット毎に異なる。そのため、あるフォーマットでは変数部分として定義される部分が、別のフォーマットでは定数部分として定義されることや、その逆があり得る。 The format determination unit 120 determines which format (format) prerecorded in the format storage unit 171 matches each log included in the analysis target log 10, and uses the matching format to determine each log. Separate the log into variable and constant parts. A format is a type of log that is predetermined based on the characteristics of the log. The characteristics of logs include the property that similar logs are easily changed or difficult to change, and the property that a character string indicating easily changed parts in the log is described. The variable part is the part that can change in the format, and the constant part is the part that does not change in the format. A variable part value (including numeric values, character strings and other data) in an input log is called a variable value. The variable part and constant part are different for each format. So what is defined as a variable part in one format can be defined as a constant part in another format, and vice versa.

図3は、フォーマット記憶部171に記録される例示的なフォーマットの模式図である。フォーマットは、一意のフォーマットIDに関連付けられたフォーマットを表す文字列を含む。フォーマットは、ログ中の変化可能な部分に所定の識別子を記載することによって変数部分として規定し、ログ中の変数部分以外の部分を定数部分として規定する。変数部分の識別子として、例えば「<変数:タイムスタンプ>」はタイムスタンプを表す変数部分を示し、「<変数:文字列>」は任意の文字列を表す変数部分を示し、「<変数:数値>」は任意の数値を表す変数部分を示し、「<変数:IP>」は任意のIPアドレスを表す変数部分を示す。変数部分の識別子はこれらに限られず、正規表現や、取り得る値のリスト等の任意の方法により定義されてよい。また、フォーマットは変数部分を含まずに定数部分のみによって構成されてよく、あるいは定数部分を含まずに変数部分のみによって構成されてよい。 FIG. 3 is a schematic diagram of an exemplary format recorded in the format storage unit 171. As shown in FIG. A format includes a string representing the format associated with a unique format ID. The format is defined as a variable part by describing a predetermined identifier in the variable part in the log, and defines the part other than the variable part in the log as a constant part. As the identifier of the variable part, for example, "<variable: timestamp>" indicates a variable part that represents a timestamp, "<variable: character string>" indicates a variable part that indicates an arbitrary character string, and "<variable: numeric value >” indicates a variable portion representing an arbitrary numerical value, and “<variable: IP>” indicates a variable portion representing an arbitrary IP address. The identifier of the variable part is not limited to these, and may be defined by any method such as a regular expression or a list of possible values. Also, the format may consist of only a constant part without including a variable part, or may consist of only a variable part without including a constant part.

例えば、フォーマット判定部120は、図2の3行目のログを、図3のIDが1であるフォーマットに合致すると判定する。そして、フォーマット判定部120は、判定されたフォーマットに基づいて該ログを処理し、タイムスタンプである「2015/08/17 08:28:37」、文字列である「SV003」、数値である「3258」およびIPアドレスである「192.168.1.23」を変数値として決定する。 For example, the format determination unit 120 determines that the log on the third line in FIG. 2 matches the format with the ID of 1 in FIG. Then, the format determination unit 120 processes the log based on the determined format, and obtains a time stamp of "2015/08/17 08:28:37", a character string of "SV003", and a numerical value of " 3258” and the IP address “192.168.1.23” are determined as variable values.

図3において、フォーマットは視認性のために文字列のリストで表されているが、任意のデータ形式(ファイル形式)で表されてよく、例えばバイナリデータ又はテキストデータでよい。また、フォーマットはバイナリファイル又はテキストファイルとしてフォーマット記憶部171に記録されてよく、あるいはデータベースのテーブルとしてフォーマット記憶部171に記録されてよい。 In FIG. 3, the format is represented by a list of character strings for visibility, but may be represented by any data format (file format), such as binary data or text data. Also, the format may be recorded in the format storage unit 171 as a binary file or a text file, or may be recorded in the format storage unit 171 as a database table.

分析対象分布生成部130、基準分布取得部140および異常検出部150は、以下に説明する異常検出方法によって、分析対象ログ10から生成された分析対象分布、および基準分布記憶部172から分析対象分布に基づいて選択された基準分布を用いて異常を検出する。 The analysis target distribution generation unit 130, the reference distribution acquisition unit 140, and the anomaly detection unit 150 extract the analysis target distribution generated from the analysis target log 10 and the analysis target distribution from the reference distribution storage unit 172 by the anomaly detection method described below. Detect anomalies using a reference distribution selected based on .

図4は、本実施形態に係る異常検出方法の模式図である。基準分布記憶部172には、基準分布マトリクスA0が予め記録されている。基準分布マトリクスA0は、集計単位および機器の各組み合わせに対して生成されるログ出力数の分布A1の集合である。ログ出力数の分布A1は、少なくとも2つの集計単位および少なくとも2つの機器に対して生成される。基準分布マトリクスA0は、1つのフォーマットのログの出力数を用いて生成されてよく、あるいは複数のフォーマットのログの出力数の合計を用いて生成されてよく、あるいは全てのフォーマットのログの出力数の合計を用いて生成されてよい。すなわち本実施形態において、基準分布マトリクスA0は、1つ又は複数の所定のフォーマットのログの出力数から生成される分布の集合である。 FIG. 4 is a schematic diagram of an abnormality detection method according to this embodiment. A reference distribution matrix A0 is recorded in advance in the reference distribution storage unit 172 . The reference distribution matrix A0 is a set of distributions A1 of the number of log outputs generated for each combination of aggregation units and devices. A log output count distribution A1 is generated for at least two aggregation units and at least two devices. The reference distribution matrix A0 may be generated using the number of log outputs of one format, or may be generated using the sum of the number of log outputs of multiple formats, or the number of log outputs of all formats. may be generated using the sum of That is, in this embodiment, the reference distribution matrix A0 is a set of distributions generated from the number of outputs of one or more predetermined format logs.

集計単位は、ログ出力数の分布A1を生成するために集計対象とする時間範囲の長さおよび時間範囲が該当する条件を規定する。例えば、集計単位は集計対象とする時間範囲の分、時、日等の長さを規定し、さらに該時間範囲が特定の曜日又は起点の条件を満たすことを規定する。各集計単位には、識別のための集計単位番号(集計単位No.)が割り振られる。 The aggregation unit defines the length of the time range to be aggregated to generate the distribution A1 of the number of log outputs and the conditions to which the time range applies. For example, the aggregation unit defines the length of the time range to be aggregated, such as minutes, hours, and days, and further defines that the time range satisfies the conditions of a specific day of the week or starting point. Each aggregation unit is assigned an aggregation unit number (aggregation unit No.) for identification.

図5は、例示的な集計単位の模式図である。集計単位は、識別のための集計単位番号(集計単位No.)に関連付けられ、予め異常検出システム100中で定義される。集計単位は、基準分布マトリクスA0に含まれるログ出力数の分布A1を生成するための時間範囲を規定する規則である。すなわち、過去に出力されたログ(フォーマット)の出力数を、集計単位に従って集計することによってログ出力数の分布A1が生成される。例えば集計単位が「10分間」の場合には、過去に出力されたログ中で、10分間(すなわち時刻Nから時刻N+10分の間、時刻Nは任意)に出力されたログの時系列分布の平均をログ出力数の分布A1とする。集計単位が「1日(日曜日)」の場合には、過去に出力されたログ中で、1日間かつ日曜日に出力されたログの時系列分布の平均をログ出力数の分布A1とする。集計単位が「過去1日」の場合には、過去に出力されたログ中で、現在を起点として遡った1日間に出力されたログの時系列分布をログ出力数の分布A1とする。このように、集計単位は、ログの集計対象である時間範囲の長さおよび時間範囲の該当する条件を規定する。 FIG. 5 is a schematic diagram of exemplary aggregation units. The aggregation unit is associated with an aggregation unit number (aggregation unit No.) for identification and is defined in advance in the abnormality detection system 100 . The aggregation unit is a rule that defines the time range for generating the log output count distribution A1 included in the reference distribution matrix A0. That is, the distribution A1 of the number of log outputs is generated by aggregating the number of logs (format) that have been output in the past according to the unit of aggregation. For example, if the aggregation unit is "10 minutes", the time-series distribution of logs output in the past 10 minutes (that is, between time N and time N + 10 minutes, time N is arbitrary) among the logs output in the past. Let the average be distribution A1 of the number of log outputs. When the aggregation unit is "one day (Sunday)", the average of the time-series distribution of the logs output on Sunday for one day among the logs output in the past is taken as the distribution A1 of the number of log outputs. When the aggregation unit is "past one day", the time-series distribution of the logs output in one day from the present, among the logs output in the past, is defined as the distribution A1 of the number of log outputs. In this way, the aggregation unit defines the length of the time range for which logs are aggregated and the applicable conditions for the time range.

図5に示した集計単位は一例であり、図5に示された一部の集計単位を用いてよく、あるいは図5に示されていない他の集計単位を用いてよい。図5では視認性のために集計単位は文字列で示されているが、実際には集計単位は集計の規則を示す任意のバイナリデータ又はテキストデータでよい。 The aggregation unit shown in FIG. 5 is an example, and some aggregation units shown in FIG. 5 may be used, or other aggregation units not shown in FIG. 5 may be used. In FIG. 5, the units of aggregation are indicated by character strings for the sake of visibility, but actually the units of aggregation may be arbitrary binary data or text data indicating rules for aggregation.

機器は、ログの出力元の装置である。各機器には、識別のための機器番号(機器No.)が割り振られる。同じ種類の装置であっても、異なる実体である場合には異なる機器番号が割り振られる。また、同じ機器の中でログを出力する複数のソフトウェアが実行される場合には、各ソフトウェアに異なる機器番号が割り振られてよい。すなわち、ここではログを出力するソフトウェアも1つの機器とみなす。 A device is a device that outputs a log. Each device is assigned a device number (device No.) for identification. Even devices of the same type are assigned different device numbers if they are different entities. Also, when a plurality of pieces of software that output logs are executed in the same device, each piece of software may be assigned a different device number. That is, the software that outputs the log is also regarded as one device here.

ログ出力数の分布A1は、集計単位および機器の各組み合わせにおけるログの出力数の時系列分布である。すなわち、ログ出力数の分布A1は、集計単位および機器の各組み合わせについて、該集計単位の時間範囲において該機器から出力されたログの数の時系列の遷移を示す。ログの出力数の分布A1は、図4では視認性のためにグラフとして表されているが、ログの出力数を時系列で並べたバイナリデータ又はテキストデータとして基準分布記憶部172に記録されてよい。 The log output count distribution A1 is the time-series distribution of the log output count for each combination of aggregation unit and device. That is, the distribution A1 of the number of log outputs indicates the time-series transition of the number of logs output from the device within the time range of the aggregation unit for each combination of the aggregation unit and the device. The log output count distribution A1 is represented as a graph in FIG. good.

分析対象分布生成部130は、分析対象ログ10から分析対象分布A2を生成する。分析対象分布A2は、分析対象とするログの出力数の時系列分布である。すなわち、分析対象分布A2は、分析対象の期間において出力されたログの数の時系列の遷移を示す。分析対象分布A2は1つの機器から出力されたログを用いて生成されてよく、あるいは複数の機器から出力されたログを用いて生成されてよい。分析対象分布A2において集計対象とする1つ又は複数のフォーマットは、基準分布マトリクスA0において集計対象とされている1つ又は複数のフォーマットと同一である。分析対象分布A2は、図4では視認性のためにグラフとして表されているが、ログの出力数を時系列で並べたバイナリデータ又はテキストデータとして生成されてよい。 The analysis target distribution generation unit 130 generates the analysis target distribution A2 from the analysis target log 10 . The analysis target distribution A2 is a time-series distribution of the number of log outputs to be analyzed. That is, the analysis target distribution A2 indicates the time-series transition of the number of logs output in the analysis target period. The analysis target distribution A2 may be generated using logs output from one device, or may be generated using logs output from a plurality of devices. One or more formats to be aggregated in the analysis target distribution A2 are the same as one or more formats to be aggregated in the reference distribution matrix A0. Although the analysis target distribution A2 is represented as a graph in FIG. 4 for visibility, it may be generated as binary data or text data in which the numbers of log outputs are arranged in chronological order.

基準分布取得部140は、基準分布マトリクスA0に含まれるログ出力数の分布A1のうち、分析対象分布A2に最も類似している分布を基準分布A3として取得する。具体的には、基準分布取得部140は、異常検出を行う際に基準分布記憶部172から基準分布マトリクスA0を読み出す。次に、基準分布取得部140は、基準分布マトリクスA0に含まれるログ出力数の分布A1そのそれぞれと、分析対象分布A2との間の類似度を算出する。類似度としては、ログ出力数の分布A1および分析対象分布A2が類似している程度を示す任意の指標を用いることができ、例えば相関係数を用いてよい。相関係数が高いほど、ログ出力数の分布A1および分析対象分布A2が類似していることを示す。そして、基準分布取得部140は、算出された類似度に基づいて、基準分布マトリクスA0に含まれるログ出力数の分布A1のうち、分析対象分布A2と最も類似している分布(例えば最も類似度が高い分布)を基準分布A3として選択する。 The reference distribution acquisition unit 140 acquires, as a reference distribution A3, the distribution A1 of the number of log outputs included in the reference distribution matrix A0 that is most similar to the analysis target distribution A2. Specifically, the reference distribution acquisition unit 140 reads the reference distribution matrix A0 from the reference distribution storage unit 172 when performing abnormality detection. Next, the reference distribution acquisition unit 140 calculates the degree of similarity between each distribution A1 of the number of log outputs included in the reference distribution matrix A0 and the analysis target distribution A2. As the degree of similarity, any index indicating the degree of similarity between the log output count distribution A1 and the analysis object distribution A2 can be used, and for example, a correlation coefficient can be used. The higher the correlation coefficient, the more similar the log output count distribution A1 and the analysis object distribution A2 are. Then, based on the calculated similarity, the reference distribution acquisition unit 140 determines the most similar distribution (for example, the most similar is high) is selected as the reference distribution A3.

異常検出部150は、基準分布取得部140によって選択された基準分布A3と分析対象分布A2とを比較することによって異常を検出する。具体的には、異常検出部150は、基準分布A3を基準とした分析対象分布A2の異常度を算出する。そして異常検出部150は、算出された異常度が所定の正常範囲内でない場合に、異常を検出する。異常度としては、分析対象分布A2が基準分布A3から外れている程度を示す任意の指標を用いることができ、例えば相関係数を用いてよい。相関係数が低いほど、分析対象分布A2が基準分布A3から外れている程度が大きいことを示す。 The anomaly detection unit 150 detects an anomaly by comparing the reference distribution A3 selected by the reference distribution acquisition unit 140 and the analysis target distribution A2. Specifically, the abnormality detection unit 150 calculates the degree of abnormality of the analysis target distribution A2 with reference to the reference distribution A3. The abnormality detection unit 150 detects an abnormality when the calculated degree of abnormality is not within a predetermined normal range. As the degree of abnormality, any index indicating the extent to which the distribution A2 to be analyzed deviates from the reference distribution A3 can be used, and for example, a correlation coefficient can be used. The lower the correlation coefficient, the greater the deviation of the analysis target distribution A2 from the reference distribution A3.

通知制御部160は、異常検出部150によって検出された異常を示す情報を、ディスプレイ20を用いて通知する制御を行う。通知制御部160による異常の通知は、ディスプレイ20による表示に限らず、プリンタによる印刷、ランプの点灯、スピーカによる音声出力等、利用者に対して通知することが可能な任意の方法によって行われてよい。 The notification control unit 160 performs control to notify information indicating an abnormality detected by the abnormality detection unit 150 using the display 20 . The notification of an abnormality by the notification control unit 160 is not limited to the display on the display 20, but can be performed by any method that can notify the user, such as printing by a printer, turning on a lamp, or outputting sound by a speaker. good.

このように本実施形態では、基準分布取得部140は様々な集計単位および機器のログ出力数の分布A1の中から分析対象分布A2に最も近い基準分布A3を選択し、異常検出部150は選択された基準分布A3を基準として分析対象分布A2が異常か否かを判定する。そのため、分析対象分布A2により近い基準を用いて高精度に異常を検出することができる。 As described above, in this embodiment, the reference distribution acquisition unit 140 selects the reference distribution A3 closest to the analysis target distribution A2 from the distribution A1 of the number of log outputs of various aggregation units and devices, and the abnormality detection unit 150 selects Based on the reference distribution A3 thus obtained, it is determined whether or not the distribution A2 to be analyzed is abnormal. Therefore, an abnormality can be detected with high accuracy using a reference closer to the analysis target distribution A2.

本実施形態では分析対象分布A2を基準分布マトリクスA0に含まれる全てのログ出力数の分布A1と比較しているが、同一の集計単位で生成された分析対象分布A2およびログ出力数の分布A1に限定して比較を行ってもよい。例えば、分析対象分布生成部130は分析対象分布A2を10分間の集計単位で生成し、基準分布取得部140は基準分布マトリクスA0から集計単位番号1(10分間)のログ出力数の分布A1を抽出して類似度を算出し、その中から基準分布A3を選択する。 In this embodiment, the analysis object distribution A2 is compared with all the log output number distributions A1 included in the reference distribution matrix A0. The comparison may be limited to . For example, the analysis target distribution generation unit 130 generates the analysis target distribution A2 in 10-minute aggregation units, and the reference distribution acquisition unit 140 obtains the log output number distribution A1 of aggregation unit number 1 (10 minutes) from the reference distribution matrix A0. Extract and calculate the similarity, and select the reference distribution A3 from among them.

本実施形態では1つの分析対象分布A2を用いて異常を検出しているが、複数の分析対象分布A2の組み合わせを用いて異常を検出してもよい。例えば、分析対象分布生成部130は、分析対象ログ10から異なる集計単位(例えば10分間および1時間)で2つの分析対象分布A2を生成する。次に、基準分布取得部140は、各機器番号において同じ集計単位(すなわち10分間および1時間)の2つのログ出力数の分布A1に対して2つの類似度を算出する。そして、基準分布取得部140は、1つの機器番号について2つの類似度の合計が最も高い(すなわち最も類似している)2つのログ出力数の分布A1を、2つの基準分布A3として選択する。分析対象分布A2の数は2つに限られず任意の数でよい。 In this embodiment, an abnormality is detected using one analysis target distribution A2, but an abnormality may be detected using a combination of a plurality of analysis target distributions A2. For example, the analysis target distribution generation unit 130 generates two analysis target distributions A2 from the analysis target log 10 in different aggregation units (for example, 10 minutes and 1 hour). Next, the reference distribution acquisition unit 140 calculates two degrees of similarity with respect to two distributions A1 of the number of log outputs in the same counting unit (that is, 10 minutes and 1 hour) for each device number. Then, the reference distribution acquisition unit 140 selects the two distributions A1 of the number of log outputs having the highest sum of the two similarities for one device number (that is, the most similar) as the two reference distributions A3. The number of analysis target distributions A2 is not limited to two, and may be any number.

図6は、本実施形態に係る異常検出システム100の例示的な機器構成を示す概略構成図である。異常検出システム100は、CPU(Central Processing Unit)101と、メモリ102と、記憶装置103と、通信インターフェース104と、ディスプレイ20とを備える。異常検出システム100は独立した装置でよく、あるいは他の装置と一体に構成されてよい。 FIG. 6 is a schematic configuration diagram showing an exemplary configuration of the abnormality detection system 100 according to this embodiment. The abnormality detection system 100 includes a CPU (Central Processing Unit) 101 , a memory 102 , a storage device 103 , a communication interface 104 and a display 20 . The anomaly detection system 100 may be a separate device or integrated with other devices.

通信インターフェース104は、データの送受信を行う通信部であり、有線通信および無線通信の少なくとも一方の通信方式を実行可能に構成される。通信インターフェース104は、該通信方式に必要なプロセッサ、電気回路、アンテナ、接続端子等を含む。通信インターフェース104は、CPU101からの信号に従って、該通信方式を用いてネットワークに接続され、通信を行う。通信インターフェース104は、例えば分析対象ログ10を外部から受信する。 The communication interface 104 is a communication unit that transmits and receives data, and is configured to be capable of executing at least one of wired communication and wireless communication. The communication interface 104 includes a processor, an electric circuit, an antenna, connection terminals, etc. necessary for the communication system. The communication interface 104 is connected to a network using the communication method according to a signal from the CPU 101 and performs communication. The communication interface 104 receives, for example, the analysis target log 10 from the outside.

記憶装置103は、異常検出システム100が実行するプログラムや、プログラムによる処理結果のデータ等を記憶する。記憶装置103は、読み取り専用のROM(Read Only Memory)や、読み書き可能のハードディスクドライブ又はフラッシュメモリ等を含む。また、記憶装置103は、CD-ROM等のコンピュータ読取可能な可搬記憶媒体を含んでもよい。メモリ102は、CPU101が処理中のデータや記憶装置103から読み出されたプログラムおよびデータを一時的に記憶するRAM(Random Access Memory)等を含む。 The storage device 103 stores programs executed by the anomaly detection system 100, data of processing results of the programs, and the like. The storage device 103 includes a read-only ROM (Read Only Memory), a readable/writable hard disk drive, a flash memory, or the like. The storage device 103 may also include a computer-readable portable storage medium such as a CD-ROM. The memory 102 includes a RAM (Random Access Memory) for temporarily storing data being processed by the CPU 101 and programs and data read from the storage device 103 .

CPU101は、処理に用いる一時的なデータをメモリ102に一時的に記録し、記憶装置103に記録されたプログラムを読み出し、該プログラムに従って該一時的なデータに対して種々の演算、制御、判別などの処理動作を実行するプロセッサである。また、CPU101は、記憶装置103に処理結果のデータを記録し、また通信インターフェース104を介して処理結果のデータを外部に送信する。 The CPU 101 temporarily records temporary data used for processing in the memory 102, reads a program recorded in the storage device 103, and performs various calculations, controls, determinations, etc. on the temporary data according to the program. is a processor that executes the processing operations of The CPU 101 also records the data of the processing result in the storage device 103 and transmits the data of the processing result to the outside via the communication interface 104 .

本実施形態においてCPU101は、記憶装置103に記録されたプログラムを実行することによって、図1のログ入力部110、フォーマット判定部120、分析対象分布生成部130、基準分布取得部140、異常検出部150および通知制御部160として機能する。また、本実施形態において記憶装置103は、図1のフォーマット記憶部171および基準分布記憶部172として機能する。 In this embodiment, the CPU 101 executes the program recorded in the storage device 103 to perform the following functions: the log input unit 110, the format determination unit 120, the analysis target distribution generation unit 130, the reference distribution acquisition unit 140, and the abnormality detection unit shown in FIG. 150 and notification control unit 160 . Further, in this embodiment, the storage device 103 functions as the format storage unit 171 and the reference distribution storage unit 172 in FIG.

ディスプレイ20は、利用者に対して情報を表示する表示装置である。ディスプレイ20として、CRT(Cathode Ray Tube)ディスプレイ、液晶ディスプレイ等の任意の表示装置を用いてよい。ディスプレイ20は、CPU101からの信号に従って、所定の情報を表示する。 The display 20 is a display device that displays information to the user. As the display 20, any display device such as a CRT (Cathode Ray Tube) display, a liquid crystal display, or the like may be used. A display 20 displays predetermined information according to a signal from the CPU 101 .

異常検出システム100は、図6に示す具体的な構成に限定されない。異常検出システム100は、1つの装置に限られず、2つ以上の物理的に分離した装置が有線又は無線で接続されることにより構成されていてもよい。異常検出システム100に含まれる各部は、それぞれ電気回路構成により実現されていてもよい。ここで、電気回路構成とは、単一のデバイス、複数のデバイス、チップセット又はクラウドを概念的に含む文言である。 Anomaly detection system 100 is not limited to the specific configuration shown in FIG. The anomaly detection system 100 is not limited to one device, and may be configured by connecting two or more physically separated devices by wire or wirelessly. Each unit included in the abnormality detection system 100 may be realized by an electric circuit configuration. Here, an electrical circuit configuration is a term that conceptually includes a single device, multiple devices, a chipset, or a cloud.

また、異常検出システム100の少なくとも一部がSaaS(Software as a Service)形式で提供されてよい。すなわち、異常検出システム100を実現するための機能の少なくとも一部が、ネットワーク経由で実行されるソフトウェアによって実行されてよい。 Also, at least part of the anomaly detection system 100 may be provided in a SaaS (Software as a Service) format. That is, at least part of the functions for realizing the anomaly detection system 100 may be executed by software executed via a network.

図7は、本実施形態に係る異常検出システム100を用いる異常検出方法のフローチャートを示す図である。図7のフローチャートは、例えば利用者が異常検出システム100に対して異常検出を実行するための所定の操作を行うことによって開始される。まず、ログ入力部110は、分析対象ログ10を受け取り、異常検出システム100に入力する(ステップS101)。フォーマット判定部120は、ステップS101で入力された分析対象ログ10に含まれる各ログについて、フォーマット記憶部171に記録されたいずれのフォーマットに適合するか判定する(ステップS102)。 FIG. 7 is a diagram showing a flowchart of an abnormality detection method using the abnormality detection system 100 according to this embodiment. The flowchart of FIG. 7 is started, for example, by the user performing a predetermined operation for executing anomaly detection on the anomaly detection system 100 . First, the log input unit 110 receives the analysis target log 10 and inputs it to the abnormality detection system 100 (step S101). The format determination unit 120 determines which format recorded in the format storage unit 171 is compatible with each log included in the log to be analyzed 10 input in step S101 (step S102).

次に、分析対象分布生成部130は、ステップS102でフォーマットが判定されたログから分析対象の所定のフォーマットのログを抽出し、該ログの出力数の時系列分布を分析対象分布として生成する(ステップS103)。ここで、分析対象ログの全期間について分析対象分布が生成されてよく、1つ又は複数の所定の集計単位について分析対象分布が生成されてよい。 Next, the analysis target distribution generation unit 130 extracts a log of a predetermined format to be analyzed from the logs whose format was determined in step S102, and generates the time-series distribution of the number of outputs of the log as the analysis target distribution ( step S103). Here, the analysis target distribution may be generated for the entire period of the analysis target log, or the analysis target distribution may be generated for one or a plurality of predetermined aggregation units.

基準分布取得部140は、基準分布記憶部172から基準分布マトリクスを読み出し、基準分布マトリクスに含まれるログ出力数の分布のそれぞれと、ステップS103で生成された分析対象分布との間の類似度を算出する(ステップS104)。そして、基準分布取得部140は、ステップS104で算出された類似度に基づいて、基準分布マトリクスに含まれるログ出力数の分布のうち、分析対象分布と最も類似している分布(例えば最も類似度が高い分布)を基準分布として選択する(ステップS105)。 The reference distribution acquisition unit 140 reads out the reference distribution matrix from the reference distribution storage unit 172, and calculates the degree of similarity between each distribution of the number of log outputs included in the reference distribution matrix and the analysis target distribution generated in step S103. Calculate (step S104). Then, based on the similarity calculated in step S104, the reference distribution acquisition unit 140 obtains the most similar distribution (for example, the most similarity is selected as the reference distribution (step S105).

異常検出部150は、ステップS105で選択された基準分布を基準として分析対象分布の異常度を算出する。そして異常検出部150は、算出された異常度が所定の正常範囲内でない場合に、異常を検出する(ステップS106)。 The anomaly detection unit 150 calculates the anomaly degree of the analysis target distribution based on the reference distribution selected in step S105. Then, the abnormality detection unit 150 detects an abnormality when the calculated degree of abnormality is not within a predetermined normal range (step S106).

ステップS106で異常が検出された場合に(ステップS107のYES)、通知制御部160は、ステップS106で検出された異常を示す情報を、ディスプレイ20を用いて通知する制御を行う(ステップS108)。ステップS108における通知を行った後、あるいはステップS106で異常が検出されない場合に(ステップS107のNO)、異常検出方法を終了する。 When an abnormality is detected in step S106 (YES in step S107), the notification control unit 160 performs control to notify information indicating the abnormality detected in step S106 using the display 20 (step S108). After the notification in step S108, or when no abnormality is detected in step S106 (NO in step S107), the abnormality detection method is terminated.

異常検出システム100のCPU101は、図7に示す異常検出方法に含まれる各ステップ(工程)の主体となる。すなわち、CPU101は、図7に示す異常検出方法を実行するためのプログラムをメモリ102又は記憶装置103から読み出し、該プログラムを実行して異常検出システム100の各部を制御することによって図7に示す異常検出方法を実行する。 The CPU 101 of the abnormality detection system 100 is the subject of each step (process) included in the abnormality detection method shown in FIG. That is, the CPU 101 reads a program for executing the abnormality detection method shown in FIG. Run the detection method.

従来の異常検出方法では様々な集計単位および機器の分布を平均化したものを異常検出の基準としていたため、集計単位ごとおよび機器ごとの分布の特徴が埋もれてしまい、正確に異常を検出できない場合があった。それに対して、本実施形態に係る異常検出システム100は、基準分布取得部140によって様々な集計単位および機器のログ出力数の分布A1の中から分析対象分布A2に最も近い基準分布A3を選択し、選択された基準分布A3を基準として分析対象分布A2が異常か否かを判定する。そのため、集計単位ごとおよび機器ごとの分布の特徴を生かして、分析対象分布A2に近い基準を用いて高精度に異常を検出することができる。 In the conventional anomaly detection method, the averaged distribution of various aggregation units and devices was used as the standard for anomaly detection. was there. On the other hand, in the anomaly detection system 100 according to the present embodiment, the reference distribution acquisition unit 140 selects the reference distribution A3 that is closest to the analysis target distribution A2 from the distributions A1 of the number of log outputs of various aggregation units and devices. , the selected reference distribution A3 is used as a reference to determine whether or not the analysis target distribution A2 is abnormal. Therefore, it is possible to detect anomalies with high accuracy using a criterion close to the analysis target distribution A2 by taking advantage of the characteristics of the distribution for each aggregation unit and for each device.

(第2の実施形態)
第1の実施形態は分析対象分布を基準分布マトリクスと比較することによって分析対象分布の異常を検出する。それに対して、本実施形態は基準分布マトリクスの中から外れた分布を抽出することによって、異常な分布又は異常な機器を検出する。 (Second embodiment)
A first embodiment detects anomalies in the analyzed distribution by comparing the analyzed distribution to a reference distribution matrix. In contrast, the present embodiment detects abnormal distributions or abnormal devices by extracting outlier distributions from the reference distribution matrix.

図8は、本実施形態に係る異常検出システム200のブロック図である。図8において、矢印は主なデータの流れを示しており、図8に示したもの以外のデータの流れがあってよい。図8において、各ブロックはハードウェア(装置)単位の構成ではなく、機能単位の構成を示している。そのため、図8に示すブロックは単一の装置内に実装されてよく、あるいは複数の装置内に別れて実装されてよい。ブロック間のデータの授受は、データバス、ネットワーク、可搬記憶媒体等、任意の手段を介して行われてよい。 FIG. 8 is a block diagram of an anomaly detection system 200 according to this embodiment. In FIG. 8, arrows indicate main data flows, and there may be data flows other than those shown in FIG. In FIG. 8, each block does not show the configuration in units of hardware (apparatus), but the configuration in units of functions. As such, the blocks shown in FIG. 8 may be implemented within a single device, or may be implemented separately within multiple devices. Data exchange between blocks may be performed via any means such as a data bus, network, or portable storage medium.

異常検出システム200は、処理部として、基準分布取得部240、異常検出部250および通知制御部260を備える。また、異常検出システム100は、記憶部として、基準分布記憶部272を備える。異常検出システム200の機器構成は、図6と同様でよい。基準分布取得部240および異常検出部250は、以下に説明する異常検出方法によって、基準分布マトリクスから異常を検出する。 The anomaly detection system 200 includes a reference distribution acquisition unit 240, an anomaly detection unit 250, and a notification control unit 260 as processing units. The abnormality detection system 100 also includes a reference distribution storage unit 272 as a storage unit. The equipment configuration of the anomaly detection system 200 may be the same as in FIG. The reference distribution acquisition unit 240 and the abnormality detection unit 250 detect an abnormality from the reference distribution matrix by an abnormality detection method described below.

図9は、本実施形態に係る異常検出方法の模式図である。基準分布記憶部272には、基準分布マトリクスB0が予め記録されている。基準分布マトリクスB0は、集計単位および機器の各組み合わせに対して生成されるログ出力数の分布B1の集合である。集計単位および機器の定義は第1の実施形態と同様である。また、ログ出力数の分布B1は、第1の実施形態のログ出力数の分布A1と同様の方法で生成される。 FIG. 9 is a schematic diagram of an abnormality detection method according to this embodiment. A reference distribution matrix B0 is recorded in advance in the reference distribution storage unit 272 . The reference distribution matrix B0 is a set of distributions B1 of the number of log outputs generated for each combination of aggregation units and devices. Aggregation units and device definitions are the same as in the first embodiment. Further, the log output number distribution B1 is generated by the same method as the log output number distribution A1 of the first embodiment.

基準分布取得部240は、異常検出を行う際に基準分布記憶部272から基準分布マトリクスB0を読み出す。異常検出部250は、基準分布マトリクスB0に含まれるログ出力数の分布B1を機器(機器番号)ごとに平均することによって機器平均分布を算出する。次に、異常検出部250は、算出された機器平均分布同士の類似度を算出し、類似度に基づいて機器のグループ(例えば所定の閾値以上の類似度を有する機器のグループ)を生成する。機器のグループ化には、既知のクラスタリング方法を用いてよい。異常検出部250は、以下の異常検出処理を機器のグループごとに行う。また、機器をグループ化せずに全ての機器を対象として以下の異常検出処理を行ってよい。 The reference distribution acquisition unit 240 reads the reference distribution matrix B0 from the reference distribution storage unit 272 when performing abnormality detection. The abnormality detection unit 250 calculates a device average distribution by averaging the log output count distribution B1 included in the reference distribution matrix B0 for each device (device number). Next, the abnormality detection unit 250 calculates the degree of similarity between the calculated device average distributions, and generates a group of devices based on the degree of similarity (for example, a group of devices having a degree of similarity equal to or greater than a predetermined threshold). Devices may be grouped using known clustering methods. The abnormality detection unit 250 performs the following abnormality detection processing for each device group. Alternatively, the following abnormality detection processing may be performed on all devices without grouping the devices.

異常検出部250は、各集計単位について分布B1を平均することによって集計単位ごとの平均分布を算出し、算出された平均分布と該集計単位の各分布B1との類似度を算出する。そして、異常検出部250は、集計単位ごとの平均分布から外れている(例えば平均分布に対する類似度が所定の閾値以下である)分布B1を、異常な分布B2として抽出する。また、平均分布との類似度が低い順に所定の数の分布B1を異常な分布B2として抽出してもよい。 The abnormality detection unit 250 calculates an average distribution for each aggregation unit by averaging the distribution B1 for each aggregation unit, and calculates the degree of similarity between the calculated average distribution and each distribution B1 for that aggregation unit. Then, the abnormality detection unit 250 extracts the distribution B1 that deviates from the average distribution for each aggregation unit (for example, the similarity to the average distribution is equal to or less than a predetermined threshold) as an abnormal distribution B2. Alternatively, a predetermined number of distributions B1 may be extracted as abnormal distributions B2 in descending order of similarity to the average distribution.

別の方法として、異常検出部250は、各集計単位に含まれる分布B1同士の類似度を算出し、同じ集計単位内の他の分布から外れている分布、すなわち他の分布に対する類似度の合計値又は平均値が低い分布B1を、異常な分布B2として抽出する。また、他の分布との類似度の合計値又は平均値が低い順に所定の数の分布B1を異常な分布B2として抽出してもよい。 As another method, the anomaly detection unit 250 calculates the similarity between the distributions B1 included in each aggregation unit, and calculates the similarity between the distributions B1 within the same aggregation unit, i.e., the sum of the similarities to the other distributions. A distribution B1 with a low value or average value is extracted as an abnormal distribution B2. Alternatively, a predetermined number of distributions B1 may be extracted as abnormal distributions B2 in descending order of total or average similarity with other distributions.

基準分布マトリクスB0から異常な分布B2を抽出する方法として、ここに示したものに限られず、集計単位ごとに外れた分布を抽出可能な任意の方法を用いてよい。 The method for extracting the abnormal distribution B2 from the reference distribution matrix B0 is not limited to the method shown here, and any method that can extract the distribution deviating from each aggregation unit may be used.

さらに異常検出部250は、各機器(機器番号)に係る分布B1のうち異常な分布B2の数又は割合を算出し、算出された数又は割合が所定の閾値以上である機器を異常な機器として検出する。 Furthermore, the abnormality detection unit 250 calculates the number or ratio of the abnormal distribution B2 in the distribution B1 related to each device (device number), and treats the devices for which the calculated number or ratio is equal to or greater than a predetermined threshold as abnormal devices. To detect.

通知制御部260は、異常検出部250によって検出された異常を示す情報を、ディスプレイ20を用いて通知する制御を行う。通知制御部260による検出された異常の通知は、ディスプレイ20による表示に限らず、プリンタによる印刷、ランプの点灯、スピーカによる音声出力等、利用者に対して通知することが可能な任意の方法によって行われてよい。 The notification control unit 260 performs control for notifying the information indicating the abnormality detected by the abnormality detection unit 250 using the display 20 . The notification of an abnormality detected by the notification control unit 260 is not limited to the display on the display 20, but can be made by any method that can notify the user, such as printing by a printer, turning on a lamp, or outputting sound by a speaker. may be done.

図10は、本実施形態に係る異常検出システム200を用いる異常検出方法のフローチャートを示す図である。図10のフローチャートは、例えば利用者が異常検出システム200に対して異常検出を実行するための所定の操作を行うことによって開始される。まず、基準分布取得部240は、基準分布記憶部272から基準分布マトリクスを読み出して取得する(ステップS201)。 FIG. 10 is a diagram showing a flowchart of an abnormality detection method using the abnormality detection system 200 according to this embodiment. The flowchart of FIG. 10 is started, for example, by the user performing a predetermined operation for executing anomaly detection on the anomaly detection system 200 . First, the reference distribution acquisition unit 240 reads and acquires the reference distribution matrix from the reference distribution storage unit 272 (step S201).

異常検出部250は、ステップS201で取得された基準分布マトリクスに含まれるログ出力数の分布を機器(機器番号)ごとに平均することによって機器平均分布を算出する。次に、異常検出部250は、算出された機器平均分布同士の類似度を算出し、類似度に基づいて機器のグループを生成する(ステップS202)。以下の処理は、機器のグループごとに行われる。 The abnormality detection unit 250 calculates a device average distribution by averaging the distribution of the number of log outputs included in the reference distribution matrix acquired in step S201 for each device (device number). Next, the abnormality detection unit 250 calculates the degree of similarity between the calculated device average distributions, and generates device groups based on the degree of similarity (step S202). The following processing is performed for each device group.

異常検出部250は、ステップS201で取得された基準分布マトリクスに含まれるログ出力数の分布のうち、集計単位ごとに外れた分布を異常な分布として抽出する(ステップS203)。 The anomaly detection unit 250 extracts, as an anomalous distribution, the distribution of the number of log outputs included in the reference distribution matrix acquired in step S201, which deviates from each aggregation unit (step S203).

さらに異常検出部250は、各機器(機器番号)についてステップS204で抽出された異常な分布の数又は割合を算出し、算出された数又は割合が所定の閾値以上である機器を異常な機器として検出する(ステップS204)。 Furthermore, the abnormality detection unit 250 calculates the number or ratio of the abnormal distribution extracted in step S204 for each device (device number), and treats the devices for which the calculated number or ratio is equal to or greater than a predetermined threshold as abnormal devices. Detect (step S204).

ステップS203~S204で異常な分布又は機器が検出された場合に(ステップS205のYES)、通知制御部260は、ステップS203~S204で検出された異常を示す情報を、ディスプレイ20を用いて通知する制御を行う(ステップS206)。ステップS206における通知を行った後、あるいはステップS203~204で異常が検出されない場合に(ステップS205のNO)、異常検出方法を終了する。 When an abnormal distribution or device is detected in steps S203-S204 (YES in step S205), the notification control unit 260 uses the display 20 to notify information indicating the abnormality detected in steps S203-S204. Control is performed (step S206). After the notification in step S206, or when no abnormality is detected in steps S203 and S204 (NO in step S205), the abnormality detection method ends.

異常検出システム200のCPU101は、図10に示す異常検出方法に含まれる各ステップ(工程)の主体となる。すなわち、CPU101は、図10に示す異常検出方法を実行するためのプログラムをメモリ102又は記憶装置103から読み出し、該プログラムを実行して異常検出システム200の各部を制御することによって図10に示す異常検出方法を実行する。 The CPU 101 of the abnormality detection system 200 is the subject of each step (process) included in the abnormality detection method shown in FIG. 10 from the memory 102 or the storage device 103, and executes the program to control each part of the abnormality detection system 200 to detect the abnormality shown in FIG. Run the detection method.

以上のように、本実施形態に係る異常検出システム200は、様々な集計単位および機器のログ出力数の分布B1の中から外れている分布B2を抽出することによって異常を検出する。そのため、集計単位ごとおよび機器ごとの分布の特徴を生かして、異常な分布又は機器を検出することができる。 As described above, the anomaly detection system 200 according to the present embodiment detects an anomaly by extracting the distribution B2 that deviates from the distribution B1 of the number of log outputs of various aggregation units and devices. Therefore, an abnormal distribution or device can be detected by making use of the characteristics of the distribution for each aggregation unit and for each device.

(その他の実施形態)
図11は、上述の各実施形態に係る異常検出システム100、200の概略構成図である。図11には、異常検出システム100、200が異なる集計単位および異なる機器について生成されたログの出力数の分布を用いて異常を検出する装置として機能するための構成例が示されている。異常検出システム100、200は、ログを出力する機器ごとおよび前記ログを集計する時間範囲の単位ごとに生成された複数の分布を取得する分布取得部140、240と、前記複数の分布を用いて異常を検出する異常検出部150、250と、を備え、前記複数の分布のそれぞれは、前記単位中の前記ログの出力数の時系列分布である。 (Other embodiments)
FIG. 11 is a schematic configuration diagram of the abnormality detection systems 100 and 200 according to each of the above-described embodiments. FIG. 11 shows a configuration example for the anomaly detection systems 100 and 200 to function as devices that detect an anomaly using the distribution of the number of log outputs generated for different total units and different devices. Anomaly detection systems 100 and 200 include distribution acquisition units 140 and 240 that acquire a plurality of distributions generated for each device that outputs a log and for each time range unit for aggregating the logs, and using the plurality of distributions: and abnormality detection units 150 and 250 that detect an abnormality, and each of the plurality of distributions is a time-series distribution of the number of log outputs in the unit.

本発明は、上述の実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲において適宜変更可能である。 The present invention is not limited to the above-described embodiments, and can be modified as appropriate without departing from the gist of the present invention.

上述の実施形態の機能を実現するように該実施形態の構成を動作させるプログラム(より具体的には、図7、10に示す処理をコンピュータに実行させる異常検出プログラム)を記録媒体に記録させ、該記録媒体に記録されたプログラムをコードとして読み出し、コンピュータにおいて実行する処理方法も各実施形態の範疇に含まれる。すなわち、コンピュータ読取可能な記録媒体も各実施形態の範囲に含まれる。また、上述のプログラムが記録された記録媒体はもちろん、そのプログラム自体も各実施形態に含まれる。 A program for operating the configuration of the embodiment so as to realize the functions of the embodiment described above (more specifically, an abnormality detection program for causing a computer to execute the processes shown in FIGS. 7 and 10) is recorded on a recording medium, A processing method in which the program recorded on the recording medium is read as code and executed by a computer is also included in the category of each embodiment. That is, a computer-readable recording medium is also included in the scope of each embodiment. In addition to the recording medium on which the above program is recorded, the program itself is also included in each embodiment.

該記録媒体としては例えばフロッピー(登録商標)ディスク、ハードディスク、光ディスク、光磁気ディスク、CD-ROM、磁気テープ、不揮発性メモリカード、ROMを用いることができる。また該記録媒体に記録されたプログラム単体で処理を実行しているものに限らず、他のソフトウェア、拡張ボードの機能と共同して、OS上で動作して処理を実行するものも各実施形態の範疇に含まれる。 For example, a floppy (registered trademark) disk, hard disk, optical disk, magneto-optical disk, CD-ROM, magnetic tape, nonvolatile memory card, and ROM can be used as the recording medium. Further, not only the program recorded on the recording medium alone executes the process, but also the one that operates on the OS and executes the process in cooperation with other software and functions of the expansion board. included in the category of

上述の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。 Some or all of the above-described embodiments can also be described as the following additional remarks, but are not limited to the following.

(付記1)
ログを出力する機器ごとおよび前記ログを集計する時間範囲の単位ごとに生成された複数の分布を取得する工程と、
前記複数の分布を用いて異常を検出する工程と、
を含み、
前記複数の分布のそれぞれは、前記単位中の前記ログの出力数の時系列分布である異常検出方法。 (Appendix 1)
acquiring a plurality of distributions generated for each device that outputs logs and for each unit of time range for aggregating the logs;
detecting anomalies using the plurality of distributions;
including
The anomaly detection method, wherein each of the plurality of distributions is a time-series distribution of the number of log outputs in the unit.

(付記2)
分析対象ログに含まれるログの出力数の時系列分布である分析対象分布を生成する工程をさらに備え、
前記取得する工程は、前記複数の分布から前記分析対象分布に最も類似している基準分布を選択し、
前記検出する工程は、前記分析対象分布と前記基準分布とを比較することによって、前記分析対象ログにおける前記異常を検出することを特徴とする、付記1に記載の異常検出方法。 (Appendix 2)
further comprising the step of generating an analysis target distribution, which is a time-series distribution of the number of log outputs included in the analysis target log;
The obtaining step selects a reference distribution that is most similar to the analysis target distribution from the plurality of distributions,
The anomaly detection method according to appendix 1, wherein the step of detecting detects the anomaly in the analysis target log by comparing the analysis target distribution with the reference distribution.

(付記3)
前記取得する工程は、前記分析対象分布と前記複数の分布のそれぞれとの類似度を算出し、前記複数の分布のうち前記類似度が所定の閾値以上である分布を前記基準分布として選択することを特徴とする、付記2に記載の異常検出方法。 (Appendix 3)
In the obtaining step, a similarity between the analysis target distribution and each of the plurality of distributions is calculated, and among the plurality of distributions, a distribution whose similarity is equal to or higher than a predetermined threshold is selected as the reference distribution. The abnormality detection method according to appendix 2, characterized by:

(付記4)
前記検出する工程は、前記基準分布を基準とした前記分析対象分布の異常度を算出し、前記異常度が所定の正常範囲内でない場合に前記異常を検出することを特徴とする、付記2又は3に記載の異常検出方法。 (Appendix 4)
In the step of detecting, the degree of abnormality of the distribution to be analyzed is calculated based on the reference distribution, and the abnormality is detected when the degree of abnormality is not within a predetermined normal range, Supplementary Note 2 or 4. The abnormality detection method according to 3.

(付記5)
前記複数の分布から外れた分布を異常な分布として抽出することによって前記異常を検出することを特徴とする、付記1に記載の異常検出方法。 (Appendix 5)
The anomaly detection method according to appendix 1, wherein the anomaly is detected by extracting a distribution deviating from the plurality of distributions as an anomalous distribution.

(付記6)
前記複数の分布の互いの類似度を算出し、前記互いの類似度に基づいて前記複数の分布から外れた分布を抽出することを特徴とする、付記5に記載の異常検出方法。 (Appendix 6)
6. The anomaly detection method according to appendix 5, wherein mutual similarity of the plurality of distributions is calculated, and distributions deviating from the plurality of distributions are extracted based on the mutual similarity.

(付記7)
前記機器ごとの前記異常な分布の数又は割合が所定の閾値以上である前記機器を異常な機器として抽出することによって前記異常を検出することを特徴とする、付記5又は6に記載の異常検出方法。 (Appendix 7)
Abnormality detection according to appendix 5 or 6, characterized in that the abnormality is detected by extracting, as an abnormal device, the device for which the number or ratio of the abnormal distribution for each device is equal to or greater than a predetermined threshold value. Method.

(付記8)
前記単位は、前記時間範囲の長さおよび前記時間範囲が該当する条件を示すことを特徴とする、付記1~7のいずれか一項に記載の異常検出方法。 (Appendix 8)
8. The anomaly detection method according to any one of appendices 1 to 7, wherein the unit indicates a length of the time range and a condition to which the time range applies.

(付記9)
コンピュータに、
ログを出力する機器ごとおよび前記ログを集計する時間範囲の単位ごとに生成された複数の分布を取得する工程と、
前記複数の分布を用いて異常を検出する工程と、
を実行させ、
前記複数の分布のそれぞれは、前記単位中の前記ログの出力数の時系列分布である異常検出プログラム。 (Appendix 9)
to the computer,
obtaining a plurality of distributions generated for each device that outputs logs and for each unit of time range for aggregating the logs;
detecting anomalies using the plurality of distributions;
and
An anomaly detection program, wherein each of the plurality of distributions is a time-series distribution of the number of log outputs in the unit.

(付記10)
ログを出力する機器ごとおよび前記ログを集計する時間範囲の単位ごとに生成された複数の分布を取得する分布取得部と、
前記複数の分布を用いて異常を検出する異常検出部と、
を備え、
前記複数の分布のそれぞれは、前記単位中の前記ログの出力数の時系列分布である異常検出システム。 (Appendix 10)
a distribution acquisition unit that acquires a plurality of distributions generated for each device that outputs logs and for each unit of time range for aggregating the logs;
an anomaly detection unit that detects an anomaly using the plurality of distributions;
with
An anomaly detection system, wherein each of the plurality of distributions is a time-series distribution of the number of log outputs in the unit.

Claims (11)

第1の時間幅における第1の機器のログ出力数に関する情報を含む第1のログ情報と、第2の時間幅における第2の機器のログ出力数に関する情報を含む第2のログ情報とを取得し、
第3の時間幅における分析対象機器のログ出力数に関する情報を含む分析対象ログ情報を取得し、
前記第1のログ情報及び前記第2のログ情報と前記分析対象ログ情報との類似度に基づいて、前記第1のログ情報または前記第2のログ情報を基準ログ情報とする決定を行い、
前記分析対象ログ情報と前記基準ログ情報とに基づいて前記分析対象機器の異常の有無を判定する、
異常判定方法。 First log information containing information about the number of log outputs of the first device in the first time span and second log information containing information about the number of log outputs of the second device in the second time span Acquired,
Acquiring analysis target log information including information on the number of log outputs of the analysis target device in the third time span,
determining the first log information or the second log information as reference log information based on the degree of similarity between the first log information and the second log information and the log information to be analyzed;
determining whether there is an abnormality in the analysis target device based on the analysis target log information and the reference log information;
Anomaly judgment method. 前記第1の機器は前記分析対象機器と同一の機器である、請求項1に記載の異常判定方法。 2. The abnormality determination method according to claim 1, wherein said first device is the same device as said analysis target device. 前記第1の機器と前記第2の機器とは、いずれも前記分析対象機器と同一の機器でない、請求項1に記載の異常判定方法。 2. The abnormality determination method according to claim 1, wherein neither said first device nor said second device is the same device as said device to be analyzed. 前記第1の時間幅は前記第3の時間幅と同一の時間幅である、請求項1乃至3のいずれか1項に記載の異常判定方法。 4. The abnormality determination method according to claim 1, wherein said first duration is the same duration as said third duration. 前記第1の時間幅と前記第2の時間幅とは、いずれも前記第3の時間幅と同一の時間幅でない、請求項1乃至3のいずれか1項に記載の異常判定方法。 4. The abnormality determination method according to claim 1, wherein said first time width and said second time width are not the same time width as said third time width. 第1の時間幅における第1の機器のログ出力数に関する情報を含む第1のログ情報と、第2の時間幅における第2の機器のログ出力数に関する情報を含む第2のログ情報とを取得し、
第3の時間幅における分析対象機器のログ出力数に関する情報を含む分析対象ログ情報を取得し、
前記第1のログ情報及び前記第2のログ情報と前記分析対象ログ情報との類似度に基づいて、前記第1のログ情報または前記第2のログ情報を基準ログ情報とする決定を行う
取得部と、
前記分析対象ログ情報と前記基準ログ情報とに基づいて前記分析対象機器の異常の有無を判定する判定部と
を備える、異常判定システム。 First log information containing information about the number of log outputs of the first device in the first time span and second log information containing information about the number of log outputs of the second device in the second time span Acquired,
Acquiring analysis target log information including information on the number of log outputs of the analysis target device in the third time span,
Acquisition for determining the first log information or the second log information as reference log information based on the degree of similarity between the first log information and the second log information and the log information to be analyzed Department and
An abnormality determination system, comprising: a determination unit that determines whether or not there is an abnormality in the analysis target device based on the analysis target log information and the reference log information. 前記第1の機器は前記分析対象機器と同一の機器である、請求項6に記載の異常判定システム。 7. The abnormality determination system according to claim 6, wherein said first device is the same device as said analysis target device. 前記第1の機器と前記第2の機器とは、いずれも前記分析対象機器と同一の機器でない、請求項6に記載の異常判定システム。 7. The abnormality determination system according to claim 6, wherein neither said first device nor said second device is the same device as said device to be analyzed. 前記第1の時間幅は前記第3の時間幅と同一の時間幅である、請求項6乃至8のいずれか1項に記載の異常判定システム。 The abnormality determination system according to any one of claims 6 to 8, wherein said first duration is the same duration as said third duration. 前記第1の時間幅と前記第2の時間幅とは、いずれも前記第3の時間幅と同一の時間幅でない、請求項6乃至8のいずれか1項に記載の異常判定システム。 9. The abnormality determination system according to claim 6, wherein neither said first time width nor said second time width is the same time width as said third time width. 第1の時間幅における第1の機器のログ出力数に関する情報を含む第1のログ情報と、第2の時間幅における第2の機器のログ出力数に関する情報を含む第2のログ情報とを取得し、
第3の時間幅における分析対象機器のログ出力数に関する情報を含む分析対象ログ情報を取得し、
前記第1のログ情報及び前記第2のログ情報と前記分析対象ログ情報との類似度に基づいて、前記第1のログ情報または前記第2のログ情報を基準ログ情報とする決定を行い、
前記分析対象ログ情報と前記基準ログ情報とに基づいて前記分析対象機器の異常の有無を判定する、
工程をコンピュータに実行させるためのプログラム。 First log information containing information about the number of log outputs of the first device in the first time span and second log information containing information about the number of log outputs of the second device in the second time span Acquired,
Acquiring analysis target log information including information on the number of log outputs of the analysis target device in the third time span,
determining the first log information or the second log information as reference log information based on the degree of similarity between the first log information and the second log information and the log information to be analyzed;
determining whether there is an abnormality in the analysis target device based on the analysis target log information and the reference log information;
A program for executing a process on a computer.
JP2022066082A 2020-08-25 2022-04-13 Anomaly detection method, system and program Active JP7276550B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022066082A JP7276550B2 (en) 2020-08-25 2022-04-13 Anomaly detection method, system and program

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2020141475A JP7103392B2 (en) 2020-08-25 2020-08-25 Anomaly detection methods, systems and programs
JP2022066082A JP7276550B2 (en) 2020-08-25 2022-04-13 Anomaly detection method, system and program

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2020141475A Division JP7103392B2 (en) 2020-08-25 2020-08-25 Anomaly detection methods, systems and programs

Publications (2)

Publication Number Publication Date
JP2022092037A JP2022092037A (en) 2022-06-21
JP7276550B2 true JP7276550B2 (en) 2023-05-18

Family

ID=87888717

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022066082A Active JP7276550B2 (en) 2020-08-25 2022-04-13 Anomaly detection method, system and program

Country Status (1)

Country Link
JP (1) JP7276550B2 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015164005A (en) 2014-02-28 2015-09-10 三菱重工業株式会社 Monitoring apparatus, monitoring method, and program

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5468837B2 (en) * 2009-07-30 2014-04-09 株式会社日立製作所 Anomaly detection method, apparatus, and program

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015164005A (en) 2014-02-28 2015-09-10 三菱重工業株式会社 Monitoring apparatus, monitoring method, and program

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
黒川 尋論ほか,メッセージの出力数に着目したノードの異常検知方法の検討,電子情報通信学会技術研究報告,日本,社団法人電子情報通信学会,2011年08月25日,Vol.111 No.197,pp.83-87

Also Published As

Publication number Publication date
JP2022092037A (en) 2022-06-21

Similar Documents

Publication Publication Date Title
JP6708219B2 (en) Log analysis system, method and program
JP6160064B2 (en) Application determination program, failure detection apparatus, and application determination method
JP6741216B2 (en) Log analysis system, method and program
JP6780655B2 (en) Log analysis system, method and program
WO2018122890A1 (en) Log analysis method, system, and program
JP6413537B2 (en) Predictive failure notification device, predictive notification method, predictive notification program
JP5387779B2 (en) Operation management apparatus, operation management method, and program
US11797413B2 (en) Anomaly detection method, system, and program
CN110389874B (en) Method and device for detecting log file abnormity
JP5933386B2 (en) Data management apparatus and program
WO2018069950A1 (en) Method, system, and program for analyzing logs
JPWO2018066661A1 (en) Log analysis method, system and recording medium
JP6741217B2 (en) Log analysis system, method and program
JP7276550B2 (en) Anomaly detection method, system and program
JP7103392B2 (en) Anomaly detection methods, systems and programs
CN115801307A (en) Method and system for carrying out port scanning detection by using server log
CN115295016A (en) Equipment running state monitoring method, device, equipment and storage medium
WO2021184588A1 (en) Cluster optimization method and device, server, and medium
CN114443407A (en) Detection method and system of server, electronic equipment and storage medium
JP5380386B2 (en) Device information management system and method
WO2009090944A1 (en) Rule base management system, rule base management method, and rule base management program
JP7180772B2 (en) MONITORING METHOD, MONITORING DEVICE, RECORDING MEDIUM
CN112988542B (en) Application scoring method, device, equipment and readable storage medium
CN114880713A (en) User behavior analysis method, device, equipment and medium based on data link
CN115913911A (en) Network fault detection method, equipment and storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220413

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230404

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230417

R151 Written notification of patent or utility model registration

Ref document number: 7276550

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151